Cibercriminosos usam software legítimo de monitoramento empresarial para espionar funcionários remotos; ferramentas como Teramind e ConnectWise ScreenConnect são instaladas silenciosamente sem que a vítima perceba
Por Redação Infonews24hs | 27 de abril de 2026
 |
| Cibercriminosos estão a usar versões adulteradas de software de monitoramento empresarial legítimo, como o Teramind e o ConnectWise ScreenConnect, para espionar trabalhadores remotos sem o seu conhecimento. |
O trabalho remoto veio para ficar, mas com ele surgiu uma nova ameaça silenciosa. Milhares de funcionários que trabalham de casa estão sendo espionados através de softwares de monitoramento legítimos, instalados em seus computadores sem o seu conhecimento ou consentimento. Cibercriminosos estão a usar ferramentas empresariais, como o Teramind e o ConnectWise ScreenConnect, para vigiar cada movimento, capturar teclas digitadas, aceder a webcams e roubar dados confidenciais das vítimas.
O mais assustador é que estas ferramentas de IA não são detetadas pelos antivírus tradicionais, uma vez que são programas comerciais legítimos, desenvolvidos por empresas reconhecidas e com assinaturas digitais válidas. A linha entre o monitoramento autorizado e a espionagem criminosa tornou-se perigosamente ténue.
A nova fronteira da espionagem: software legítimo, uso criminoso
Uma campanha sofisticada descoberta por investigadores de segurança está a usar uma versão do Teramind, um software de monitoramento da força de trabalho, para instalar agentes de vigilância nos computadores das vítimas. Tudo começa com um site falso de reuniões do Zoom. A página simula uma sala de espera com três participantes falsos — "Matthew Karlsson", "James Whitmore" e "Sarah Chen" — que parecem entrar na chamada um por um, cada um anunciado por um sinal sonoro genuíno do Zoom.
Enquanto a vítima aguarda, um pop-up surge automaticamente: "Atualização disponível — Uma nova versão está disponível para download". Um contador regressivo de cinco segundos impede qualquer opção de fechar a janela. Quando o contador termina, o navegador descarrega silenciosamente um arquivo de instalação. Simultaneamente, a página muda para o que parece ser a Microsoft Store, mostrando o "Zoom Workplace" em instalação. Enquanto a vítima assiste a uma instalação falsa, o verdadeiro instalador do Teramind já está na pasta Downloads — e ele foi configurado para operar em modo furtivo, sem qualquer interface visível.
Modo furtivo: o que torna esta ameaça tão perigosa
O instalador foi configurado usando a opção de implantação stealth do Teramind, um recurso empresarial legítimo projetado para implantações de TI autorizadas onde é necessário um agente invisível. Nesta campanha criminosa, esse recurso está sendo usado indevidamente para evitar a deteção nos dispositivos pessoais das vítimas. Uma vez instalado, o agente passa a operar em segundo plano sem qualquer ícone na bandeja do sistema ou entrada no menu Iniciar.
O software regista cada tecla digitada pelo utilizador. Captura imagens do ecrã em intervalos regulares. Regista quais sites foram visitados e quais aplicações foram abertas. Captura o conteúdo da área de transferência. E rastreia atividades de e-mail e arquivos. Tudo funciona silenciosamente, reportando os dados de volta para os invasores.
A situação é ainda mais grave porque a ferramenta de monitoramento é legítima. Como o software é assinado digitalmente e não contém código malicioso tradicional, a maioria das soluções antivírus não o bloqueia. Ele entra no computador como um programa confiável e, uma vez instalado, é extremamente difícil de detetar.
Os pesquisadores de segurança descobriram que o instalador foi projetado especificamente para evitar análise. Ele verifica se está a ser executado em ambientes de sandbox — máquinas virtuais isoladas usadas por especialistas para analisar malware — e altera o seu comportamento quando deteta essas condições. Se o instalador suspeitar que está a ser analisado, pode não instalar o agente ou pode modificar o seu funcionamento para evitar a deteção.
ConnectWise ScreenConnect: outra ferramenta legítima usada como cavalo de Troia
O Teramind não é o único software legítimo a ser abusado. Pesquisadores da Forcepoint X-Labs alertaram recentemente para uma campanha sofisticada que utiliza uma versão adulterada do ConnectWise ScreenConnect, uma ferramenta legítima para suporte de TI e acesso remoto. Embora a versão utilizada possua um certificado digital, este já foi revogado pelo fabricante — uma clara indicação de que se trata de uma cópia comprometida.
Após a instalação, o software estabelece automaticamente uma conexão com servidores de comando e controlo que apontam para domínios dentro da infraestrutura de rede iraniana. A partir deste momento, o programa comporta-se como um Cavalo de Troia de Acesso Remoto (RAT) completo, permitindo que os atacantes baixem arquivos, executem comandos e roubem dados confidenciais sem serem detetados.
Os ataques têm como alvo principal agências governamentais, instalações de saúde e empresas de logística, afetando principalmente a América do Norte e alguns países europeus. O método é particularmente perigoso porque reutiliza software legítimo, contornando assim as soluções de segurança tradicionais que confiam em listas negras de aplicações maliciosas.
Meta também entra na corrida do monitoramento de funcionários
Enquanto os criminosos usam estas ferramentas para espionagem, as próprias empresas estão cada vez mais a adotar tecnologias semelhantes para monitorar os seus funcionários. Em abril de 2026, a Meta anunciou o lançamento de um software de rastreamento para monitorizar a atividade dos seus funcionários nos Estados Unidos. A ferramenta, chamada Model Capability Initiative (MCI), regista movimentos do rato, cliques, teclas pressionadas e capturas ocasionais do ecrã em todas as aplicações relacionadas com o trabalho.
Os dados serão usados para treinar modelos de IA a replicar como os funcionários interagem com sistemas digitais. A empresa afirma que o software não será usado para avaliação de desempenho, mas exclusivamente para treinar sistemas de inteligência artificial. Ainda assim, especialistas alertam que este tipo de monitorização introduz um nível de vigilância em tempo real que não é tipicamente experienciado por trabalhadores administrativos, alterando potencialmente a dinâmica no local de trabalho.
Kuse AI, outra empresa do setor, está a oferecer um agente chamado "Junior" por 2.000 dólares por mês. O sistema não só automatiza tarefas de trabalho como também pode "delatar" funcionários aos superiores, monitorizando o que as pessoas estão a fazer, comparando a atividade atual com o desempenho passado e identificando padrões de comportamento que possam indicar falta de produtividade.
WebWork, por seu turno, lançou um sistema de monitorização inteligente com IA em janeiro de 2026. A plataforma estabelece linhas de base comportamentais para cada funcionário, monitoriza desvios automaticamente e envia alertas aos gestores quando deteta padrões anormais — como sinais de esgotamento ou desengajamento.
Como se proteger desta ameaça silenciosa
Para os trabalhadores remotos, a situação é preocupante. A mesma tecnologia que as empresas usam legitimamente para monitorar funcionários está a ser usada por criminosos para espionar pessoas inocentes. E, na maioria dos casos, a vítima nem sequer sabe que está a ser vigiada. Para mais dicas de segurança digital, é fundamental manter-se informado.
Os especialistas recomendam várias medidas de proteção. A primeira é desconfiar de pedidos de atualização de software que surgem durante navegação na web, especialmente de sites não oficiais. As atualizações legítimas devem sempre ser descarregadas diretamente dos sites dos fabricantes.
Também é fundamental verificar regularmente os programas instalados no computador, incluindo aqueles que não aparecem na lista padrão de aplicações. Ferramentas de monitoramento furtivas podem não ser visíveis no Painel de Controlo tradicional, mas podem ser detetadas por scanners de segurança especializados.
Manter o sistema operativo e as soluções de segurança atualizados é outra camada essencial de proteção. Embora os antivírus tradicionais possam não detetar estas ferramentas legítimas, soluções de segurança mais avançadas com capacidades de deteção comportamental têm maior probabilidade de identificar atividade anómala.
Para as empresas, os especialistas recomendam permitir apenas versões explicitamente aprovadas de ferramentas de gerenciamento remoto, bloquear certificados revogados e monitorizar ativamente as alterações em configurações de segurança críticas. A segurança da informação deve ser uma prioridade em qualquer organização.
Aviso importante: Este artigo tem fins exclusivamente informativos. As técnicas descritas são utilizadas por cibercriminosos. Se suspeita que o seu computador foi comprometido, contacte um profissional de segurança de TI. Mantenha o seu sistema operativo e software de segurança atualizados.
Referências completas
- Reunião falsa no Zoom "atualização" instala silenciosamente software de vigilância. Malwarebytes. 23 fevereiro 2026. https://www.malwarebytes.com/
- Meta introduces employee monitoring tool, intensifying workplace surveillance. ET HRSEA. 22 abril 2026. https://hrsea.economictimes.indiatimes.com/
- WebWork launches AI-powered smart monitoring for employee productivity measurement. AZ Big Media. 17 janeiro 2026. https://azbigmedia.com/
- Onda de ataque abusa de software de suporte remoto para espionagem cibernética. B2B Cyber Security. 21 fevereiro 2026. https://www.b2b-cyber-security.de/
- Meet the AI Coworker That Snitches to Your Boss—and Never Stops Working. Inc.com. 2 abril 2026. https://www.inc.com/
- Remcos RAT Evolution: From Data Theft to Real-Time Surveillance Platform. Lumu Technologies. 5 abril 2026. https://lumu.io/